[gelöst] Gibt es dynamische Sicherheitsfilter?

Hallo,

ich möchte gerne für unsere Mitarbeiter eine Information zum aktuellen Stand ihrer Arbeitszeitkonten ausgeben. Damit wir beim Datenschutz sauber sind, darf Mitarbeiter A natürlich nur seine eigenen Daten und nicht die seines Banknachbars sehen. Ich hatte gehofft, das über einen Sicherheitsfilter in der Rolle abbilden zu können. Leider scheint dieser aber komplett statisch und damit nicht mit vernünftigem Aufwand administrierbar zu sein. D.h. ich müsste für jeden Mitarbeiter eine eigene Rolle anlegen. Das geht nicht.
Hat jemand eine glänzende Idee wie man das Problem lösen könnte?

Viele Grüße,
Uta

Zuletzt geändert von UGo am 25. Februar 2021 13:15, insgesamt 1-mal geändert.

Du könntest ne eigene Page implementieren die den Filter hat (mit filtergroup - dann kann der Nutzer den Filter nicht mehr entfernen)
Dann gibst du für die Tabelle indirekte Leserechte und deiner Page Leserechte.

Damit sollte der Nutzer Zugriff auf deine Page haben, aber die Standard Pages weiterhin nicht sehen.

@Ted,

ich verstehe deine Idee nicht - kannst du die vll. noch ein wenig mehr beschreiben?

@Ugo, AZK sind meines Wissens nicht im Standard - habt ihr eine Branchenlösung?
Du wirst kaum drum herum kommen, die User in irgendeiner Art und Weise einzuschränken - also so wie du schon sagtest - über eine eigenes Zugriffsrecht , oder über etwas Vorgelagertes - so ähnlich wie Ted meinte - die Page/Form erhält per Filtergroup und SETFILTER die Möglichkeit, nur den "eigenen" Datensatz anzuzeigen - damit das System weiß, was denn der eigene Datensatz ist, kannst du du eine Art Benutzerzugriffsrechtetabelle vorschalten ...da gehört aber noch ein wenig mehr dazu.
Der Weg über den Sicherheitsfilter und entsprechend eigenem Zugriffsrecht ist aus meiner Sicht die bessere Alternative - noch dazu ohne Programmierung - und mit Verlaub - so schwierig zu administrieren ist das dann auch nicht - vorausgesetzt zu legst die Zugriffsrechte vernünftig an

Ich kann es versuchen :D

Meine Idee ist es eine Page zu bauen die dem User genau das anzeigt was er sehen darf.
Nun hab ich aber das Problem das ich dem User ja Rechte auf die Daten geben muss damit er diese sieht. Wenn ich ihm nun volle Leserechte gebe, kann er auch die Standard Page aufrufen und alles sehen - also geb ich ihm auf die Daten nur Indirekte Leserechte. Wenn deine Cutom Page auch Leserechte auf die Daten hat, hast du Zugriff auf die Page.

Der Weg über den Sicherheitsfilter und entsprechend eigenem Zugriffsrecht ist aus meiner Sicht die bessere Alternative - noch dazu ohne Programmierung - und mit Verlaub - so schwierig zu administrieren ist das dann auch nicht - vorausgesetzt zu legst die Zugriffsrechte vernünftig an

Der administrative Aufwand kommt halt auf die Anzahl der Benutzer drauf an - wenn du zum Beispiel 10.000 User hast, ist der Aufwand nicht zu unterschätzen.
Was man vielleicht auch machen koennte, nach Anlage eines neuen Nutzers (oder mit ner Action), einen individuellen Permission Set für genau diesen anzulegen.

@ Ted,

ich verstehe es immernoch nicht.
Du willst eine neue Page bauen, die genau das gleiche macht, wie die alte.
Die neue Page zeigt aber gefilterte Datensätze für den Benutzer an....wozu eine neue Page, wenn genau das auch mit der alten Page gelöst werden kann - entweder über Sicherheitsfilter, oder über Programmierung.

Deine neue Page muss auch wissen, das ich nur meinen Satz sehen darf und du nur deinen - sprich die USERID prüfen und dann damit weiterverfahren - genau das kannst du auch in der alten Page machen.
Das hat mit indirekten Leserechten auf die TableData nix zu tun.

Der administrative Aufwand kommt halt auf die Anzahl der Benutzer drauf an - wenn du zum Beispiel 10.000 User hast, ist der Aufwand nicht zu unterschätzen.

ab einer gewissen Größe (und das sind sicherlich keine 10k) macht der Einsatz von Tools für z.B. Field-Level-Security mehr Sinn

Ich geb dir Recht das du die Standardpage verändern kannst und es auch so gelöst bekommst. Aber dies wird hinfällig sobald es dann doch User gibt die alles sehen können müssen.

Eine neue Page zu machen hat den Charme dass ich das Original (möglicherweise Standard von Microsoft oder Partner) nicht ändern muss, man muss aber bedenken dass Lookup- / Drilldown-Page damit nicht geändert werden (Stichwort Table Relations).

Ich würde hier den Filter z. B. in der Benutzer Einrichtung in einem eigenen Feld festlegen, dann kann man einrichten dass es Benutzer gibt die nur eigene Datensätze sehen und Admins die alles sehen. Das finde ich schöner als zwei Pages.

Hallo Ted,

ich verstehe recht gut, worauf Du hinaus willst und finde die Idee richtig gut. Bei mir wäre nur nicht eine Page sondern ein Report das Objekt, das die Rechte auf die Tabelle bekommt. Das müsste doch eigentlich genauso funktionieren.
Bin nur leider noch nicht zur Umsetzung gekommen. Sobald ich soweit bin, melde ich mich, ob es geklappt hat!
Vielen Dank erstmal für Eure sehr hilfreichen Antworten!

Viele Grüße,
UGo